Nach Einschätzung von ZenoX deutet die Struktur des Rust-Codes auf einen Entwickler hin, der mit den Fähigkeiten bestehender lateinamerikanischer Banking-Trojaner vertraut ist. Demnach habe dieser jedoch generative KI eingesetzt, um die Funktionen in Rust neu zu schreiben und auszubauen – einer Sprache, die für das beobachtete Niveau erhebliche technische Erfahrung voraussetze.
Verbreitet wird VENON über eine ausgefeilte Infektionskette, die per DLL-Sideloading eine bösartige DLL startet. Die Forscher vermuten, dass die Kampagne auf Social-Engineering-Tricks wie ClickFix setzt, um Nutzer mithilfe eines PowerShell-Skripts zum Download eines ZIP-Archivs mit den Schaddateien zu bewegen.
Wird die DLL ausgeführt, durchläuft sie zunächst neun Ausweichtechniken, darunter Anti-Sandbox-Prüfungen, indirekte Syscalls sowie das Umgehen von ETW und AMSI, bevor sie überhaupt schädliche Aktionen einleitet. Anschließend ruft sie eine Konfiguration von einer Google-Cloud-Storage-URL ab, richtet eine geplante Aufgabe ein und baut eine WebSocket-Verbindung zum Command-and-Control-Server (C2) auf.
Aus der DLL werden zudem zwei Visual-Basic-Script-Blöcke extrahiert, die einen Hijacking-Mechanismus für Verknüpfungen umsetzen und sich ausschließlich gegen die Banking-Anwendung von Itaú richten. Sie ersetzen legitime Systemverknüpfungen durch manipulierte Versionen, die das Opfer auf eine vom Angreifer kontrollierte Webseite umleiten. Vorgesehen ist auch ein Deinstallationsschritt, mit dem sich die Änderungen rückgängig machen lassen – ein Hinweis darauf, dass der Betreiber die ursprünglichen Verknüpfungen aus der Ferne wiederherstellen kann, um Spuren zu verwischen.
Insgesamt ist die Malware darauf ausgelegt, 33 Finanzinstitute und Plattformen für digitale Vermögenswerte anzugreifen. Dazu überwacht sie Fenstertitel und aktive Browser-Domain und wird erst aktiv, sobald eine der anvisierten Anwendungen oder Webseiten geöffnet wird, um dann über gefälschte Overlays Zugangsdaten abzugreifen.
Die Veröffentlichung fällt in eine Phase, in der Angreifer die weite Verbreitung von WhatsApp in Brasilien ausnutzen, um über die Desktop-Web-Version des Dienstes einen Wurm namens SORVEPOTEL zu verteilen. Der Angriff missbraucht zuvor authentifizierte Chats, um Köder direkt an die Opfer zuzustellen, was schließlich zur Verbreitung von Banking-Malware wie Maverick, Casbaneiro oder Astaroth führt.
Laut Blackpoint Cyber genügte eine einzige über eine gekaperte SORVEPOTEL-Sitzung zugestellte WhatsApp-Nachricht, um ein Opfer in eine mehrstufige Kette zu ziehen, an deren Ende ein vollständig im Arbeitsspeicher laufendes Astaroth-Implantat stand. Das Zusammenspiel aus lokalen Automatisierungswerkzeugen, unbeaufsichtigten Browser-Treibern und für Nutzer beschreibbaren Laufzeitumgebungen habe ein ungewöhnlich nachlässig abgesichertes Umfeld geschaffen, in dem sich sowohl der Wurm als auch die finale Schaddatei mit minimalem Widerstand einnisten konnten.
